Was ist beim Aufbau zu beachten und welche Stolperfallen gibt es hier?
Grundlegend gilt: Die Spielregeln müssen klar sein. Dazu zählt in Unternehmen beispielsweise die Frage danach, ob die CoE-Services verpflichtend zu nutzen sind oder nur ein Angebot darstellen. Möglicherweise gilt die zwingende Verpflichtung zur Nutzung auch nur ab gewissen Sicherheitslevels.
Qualität und Service-Orientierung sind entscheidend für ein CoE, denn Tools und Betrieb können Unternehmen auch bei Drittdienstleistern am jeweiligen Markt einkaufen. Die Spezialisten eines eigenen CoE sprechen aber die "Sprache des Konzerns" und sollten die Unternehmensspezifika, Fallstricke, interne und externe Vorgaben sowie Abhängigkeiten besser kennen. Die dezentralen Einheiten müssen spüren, dass ihnen im CoE schnell und effizient geholfen wird. Erst dann wird es auch akzeptiert, dass der Preis für diese Services möglicherweise höher ist als das günstigste Angebot am eigenen, lokalen Markt.
Deshalb ist es wichtig, dass neben der zentralen Einheit die wesentlichen dezentralen Divisionen eines Unternehmens in den Aufbau eines Security Center of Excellence einbezogen werden. Für alle Beteiligten muss deutlich sein, welche Security-Aspekte zentralisiert und welche weiterhin dezentral gelöst werden - auch wenn hier manchmal Überzeugungsarbeit notwendig ist. Die Zuständigen in den dezentralen Einheiten müssen gegebenenfalls abgeholt und davon überzeugt werden, dass die CoE-Services bessere Mehrwerte bieten als lokale.
Hinzu kommt, dass ein Security Center of Excellence passgenau für das Unternehmen und seine Anforderungen eingerichtet werden muss. Es gilt, die genauen Bedürfnisse zu definieren und in den Ressourcen, Kompetenzen und Tools entsprechend abzubilden. Fokussierung ist hier unabdingbar. Denn die größte Stolperfalle lautet Komplexität.
Standardisierung und Vereinfachung sollten für Unternehmen beim Aufbau und beim Betrieb eines Security Center of Excellence stets die oberste Priorität haben. Komplexe Unternehmensstrukturen mit fehlender Standardisierung dürfen nicht auf das Center of Excellence übertragen werden. Hierfür ist es notwendig, die Prozesse und Tools in den dezentralen Einheiten anzupassen und nicht jeden Prozess, jedes Tool und jede Besonderheit im CoE abzubilden. Andernfalls explodieren die Kosten und die Anzahl der zu unterstützenden Security-Tools.
Ebenso wichtig ist es, dass das Zusammenspiel zwischen zentraler und dezentraler Stelle stimmt. Das Erfolgsrezept lautet Kommunikation - eine regelmäßige Abstimmung zwischen beiden Stellen ist unabdingbar.
Blick in die Zukunft
Technologien wie Cloud und Mobile, digitale IoT-Produkte oder Industrie 4.0 und schnellere, agile Entwicklungszyklen fordern auch im Bereich Security eine immer schnellere Interaktion. Mit Blick in die Zukunft ist es also schon jetzt wichtig, dass sich das Security Center of Excellence künftig weiter in Richtung Security as a Service entwickelt. Hierbei sollte es vor allem darum gehen, wie Security in agilen Cloud-basierten Projekten immer noch handlungsfähig bleibt und nicht als Bremsklotz oder gar Verhinderer wahrgenommen wird.
Ein neuer Cloud-Service sollte also auf standardisierte Security-Services zurückgreifen können, die beispielsweise bei Quellcode oder Vulnerability Scanning, Authentisierung oder Mikrosegmentierung automatisiert und schnell konfigurierbar zur Verfügung stehen. Nur so kann "Product Ownern" in Cloud-basierten Umgebungen, die in agilen Projekten denken und in Sprints arbeiten, immer noch geholfen werden. Beim Aufbau muss dieser Aspekt schon jetzt mitgedacht werden. (jd)